Uprawnienia Debiana dla serwera Apache

2

Próbuję skonfigurować mój serwer Apache na Debianie 7. Mam następującą konfigurację: Każdy użytkownik Linuksa ma folder w katalogu / home. W katalogu użytkowników mają katalog www. Zatem katalog główny Apache to / home / bob / www / Moje pytanie brzmi: jakie uprawnienia powinienem ustawić dla katalogu www? Do tej pory dodawałem użytkownika www-data do każdej grupy każdego użytkownika (powiedzmy, jeśli mam użytkowników bob i pete, www-data jest członkiem obu grup bob i pete) i ustawiłem uprawnienia do katalogu głównego na 774. Czy to właściwy sposób, aby to zrobić?

Z góry dziękuję

linux  debian  permissions  apache-http-server 
William Northern
źródło

Odpowiedzi:

0

Po pierwsze, ważna jest kwestia, która wpływa na sposób podejścia do niezbędnej konfiguracji:

  1. Apache będzie obsługiwał tylko zawartość statyczną z tych miejsc (oznacza to brak witryn „dynamicznych”, które umożliwiają przesyłanie oraz brak stron podobnych do CMS, które zapisują własne pliki dziennika lub pliki tymczasowe itp.).

    W tym przypadku dostęp tylko do odczytu dla Apache jest OK.

  2. Użytkownicy chcą prowadzić witryny dynamiczne ( CGIi bardziej zaawansowane rzeczy).

    W takim przypadku Apache musi zapisywać niektóre miejsca w hierarchii.

Teraz są możliwości:

  • Po prostu spraw, aby niezbędne hierarchie były czytelne (i możliwe do przejścia - dla katalogów) dla wszystkich.

    Oczywiście działa to tylko w przypadku treści tylko do odczytu (a więc statycznej).

    W takim przypadku po prostu upewnij się, że katalogi, które mają być obsługiwane, mają a=rxuprawnienia, a pliki w nich mają a=ruprawnienia - to znaczy, że użytkownicy inni niż należący do właściciela i grupy będą mogli przeglądać katalogi i odczytywać w nich pliki.

    Pamiętaj, że dzięki temu „wyeksportowane” rzeczy będą czytelne dla wszystkich, nie tylko Apache, i może to stanowić problem z bezpieczeństwem.

  • Jak sugeruje wiki Apache , utwórz oddzielną grupę, uruchom Apache z jego GID i upewnij się, że ta grupa ma odpowiedni dostęp (R / O lub R / W w stosownych przypadkach) do zasobów.

    W rzeczywistości Debian ma już tę grupę www-data, więc możesz po prostu dodać użytkowników do tej grupy. Oczywistym minusem jest to, że automatycznie uzyskają dostęp do innych zasobów należących do www-datagrupy.

  • Użyj separacji uprawnień za pomocą mpm-itklub innego podejścia. Pozwala to na obsługę rzeczy dla poszczególnych użytkowników z uprawnieniami dla poszczególnych użytkowników (proces menedżera apache działa, rootale procesy spawnujące odradzają się z poświadczeniami określonych użytkowników.

    Nie jestem jednak pewien, czy dobrze by to grało mod_userdir.

  • Rozważ użycie list ACL POSIX w celu zaimplementowania bardziej szczegółowej kontroli dostępu do tych katalogów.

kostix
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.